Manuel Statik Analiz — NetSupportRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d
Dosya AdıRate_RATE_AGR_Jun29.exe (sahte ticari belge)
Boyut201.728 byte
String Sayisi735

Windows Sistem Kamuflajı

<description>Windows System Settings Host</description>
-- Meşru Windows bileşeni olarak kamuflaj!
-- Gerçek "Windows System Settings Host" exe'si değildir.

NetSupportRAT Hakkında

NetSupportRAT, meşru NetSupport Manager uzaktan yönetim yazılımının kötüye kullanılan versiyonudur. 2017'den beri kötü amaçlı kullanımı tespit edilmektedir. TA505, Lazarus ve diğer tehdit aktörleri tarafından ilk erişim sonrası kalıcılık için kullanılmaktadır. Ekran izleme, dosya transferi ve uzaktan shell sağlar.

IOC

SHA256dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d
KamuflajWindows System Settings Host (XML)

NetSupportRAT — Malware Profile

NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetSupportRAT
# SHA256 dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d
TypeValueNote
sha256 dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d len=63
Tags
netsupport-ratratxml-kamuflajregistrypersistence